Procedimiento de Gestión de Brechas de Seguridad
Protocolo conforme a los artículos 33 y 34 del RGPD - Última actualización: 28 de noviembre de 2025
1. Objeto y alcance
Este documento establece el procedimiento de Verifacturing para la detección, gestión, documentación y notificación de brechas de seguridad que afecten a datos personales, conforme a los artículos 33 y 34 del Reglamento General de Protección de Datos (RGPD).
El procedimiento aplica a todas las brechas de seguridad que puedan afectar a:
- Datos personales de usuarios de la plataforma
- Datos personales de clientes y proveedores de nuestros usuarios
- Datos fiscales y contables gestionados a través del servicio
- Certificados digitales almacenados en la plataforma
2. Definiciones
2.1 Brecha de seguridad de datos personales
Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (Art. 4.12 RGPD).
2.2 Tipos de brechas
| Tipo | Descripción | Ejemplos |
|---|---|---|
| Confidencialidad | Acceso no autorizado o divulgación de datos | Hackeo, phishing exitoso, envío erróneo de datos |
| Integridad | Alteración no autorizada de datos | Modificación maliciosa, corrupción de datos |
| Disponibilidad | Pérdida de acceso o destrucción de datos | Ransomware, borrado accidental, fallo de sistema |
3. Plazos críticos
⏱️ Plazos obligatorios RGPD
72h
Notificación a la AEPD
Desde que se tenga constancia de la brecha (Art. 33 RGPD)
Sin demora
Comunicación a afectados
Si existe alto riesgo para derechos y libertades (Art. 34 RGPD)
Compromiso adicional con clientes
Conforme al DPA, Verifacturing notificará a los Responsables del Tratamiento (clientes) en un plazo máximo de 24 horas desde la detección de una brecha que afecte a sus datos.
4. Fases del procedimiento
4.1 Fase 1: Detección e identificación
Canales de detección
- Sistemas de monitorización y alertas automatizadas
- Notificación de empleados o colaboradores
- Comunicación de usuarios o clientes
- Información de proveedores de seguridad
- Auditorías internas o externas
- Notificación de autoridades o terceros
Acciones inmediatas (primeros 30 minutos):
- Registrar fecha y hora exacta de detección
- Identificar el tipo de incidente (confidencialidad, integridad, disponibilidad)
- Activar el equipo de respuesta a incidentes
- Documentar toda la información disponible inicialmente
4.2 Fase 2: Contención
Acciones de contención (primeras 2 horas):
- Aislar sistemas afectados si es necesario
- Revocar accesos comprometidos
- Preservar evidencias para análisis forense
- Bloquear vectores de ataque identificados
- Activar sistemas de backup si hay pérdida de disponibilidad
4.3 Fase 3: Evaluación del riesgo
Evaluar el impacto y la probabilidad de daño a los derechos y libertades de los afectados:
| Factor | Bajo | Medio | Alto |
|---|---|---|---|
| Tipo de datos | Datos de contacto básicos | Datos fiscales, NIF | Datos bancarios, certificados digitales |
| Volumen afectado | < 100 personas | 100-1.000 personas | > 1.000 personas |
| Facilidad de identificación | Datos anonimizados/cifrados | Requiere cruce de datos | Identificación directa |
| Consecuencias | Molestias menores | Daño reputacional, fraude menor | Pérdida financiera grave, suplantación |
4.4 Fase 4: Notificación
A) Notificación a la AEPD (Art. 33 RGPD)
Obligatoria salvo que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas.
Contenido mínimo de la notificación:
- Naturaleza de la brecha (categorías de datos y número aproximado de afectados)
- Nombre y datos de contacto del DPO o punto de contacto
- Consecuencias probables de la brecha
- Medidas adoptadas o propuestas para remediar la brecha
Canal: Sede Electrónica de la AEPD - Formulario de notificación de brechas
B) Comunicación a los afectados (Art. 34 RGPD)
Obligatoria cuando la brecha entrañe alto riesgo para los derechos y libertades.
Excepciones (no es necesaria si):
- Se han aplicado medidas que hacen ininteligibles los datos (cifrado)
- Se han tomado medidas que impiden que se materialice el alto riesgo
- Supone un esfuerzo desproporcionado (en cuyo caso, comunicación pública)
C) Notificación a clientes (Responsables del Tratamiento)
Conforme al DPA, notificaremos a los clientes afectados en un plazo máximo de 24 horas incluyendo:
- Descripción del incidente
- Datos potencialmente afectados
- Medidas de contención adoptadas
- Recomendaciones para los afectados finales
- Información necesaria para que cumplan sus obligaciones de notificación
4.5 Fase 5: Erradicación y recuperación
- Eliminar la causa raíz del incidente
- Restaurar sistemas y datos desde backups si es necesario
- Verificar la integridad de los sistemas restaurados
- Restablecer el servicio normal de forma controlada
- Monitorización intensiva post-incidente
4.6 Fase 6: Lecciones aprendidas
- Análisis post-incidente (máximo 30 días después)
- Identificación de mejoras en controles de seguridad
- Actualización de procedimientos si es necesario
- Formación adicional al personal si procede
- Documentación final del incidente
5. Registro de brechas
Verifacturing mantiene un registro interno de todas las brechas de seguridad (Art. 33.5 RGPD) que incluye:
- Fecha y hora de detección
- Descripción del incidente
- Categorías de datos y número de afectados
- Consecuencias evaluadas
- Medidas adoptadas
- Decisión sobre notificación (y justificación si no se notificó)
- Fechas de notificaciones realizadas
- Documentación de seguimiento
Este registro se conserva durante un mínimo de 5 años y está disponible para la AEPD si lo requiere.
6. Equipo de respuesta a incidentes
| Rol | Responsabilidades |
|---|---|
| Responsable de Seguridad | Coordina la respuesta técnica, contención y erradicación |
| DPO / Privacidad | Evalúa impacto en protección de datos, decide notificaciones |
| Dirección | Toma decisiones estratégicas, aprueba comunicaciones |
| Comunicación | Gestiona comunicación con afectados y medios si procede |
| Legal | Asesora sobre obligaciones legales y posibles responsabilidades |
7. Canales de comunicación de incidentes
Si detecta o sospecha de una brecha de seguridad, comuníquelo inmediatamente:
seguridad@verifacturing.com
privacidad@verifacturing.com
Protección del informante: Las comunicaciones de buena fe sobre posibles brechas de seguridad están protegidas. No se tomarán represalias contra quien informe de un incidente de seguridad.
8. Formación y simulacros
- Formación inicial: Todo el personal recibe formación sobre este procedimiento al incorporarse
- Formación periódica: Actualización anual sobre gestión de incidentes
- Simulacros: Se realizan ejercicios de simulación de brechas al menos una vez al año
- Actualización: El procedimiento se revisa anualmente o tras cada incidente significativo
9. Referencias normativas
- RGPD - Arts. 33 y 34: Notificación de violaciones de seguridad
- LOPDGDD - Art. 32: Bloqueo de datos
- Guía AEPD - Guía para la gestión y notificación de brechas de seguridad
- ENISA - Recomendaciones para la notificación de brechas